Valutazione di impatto privacy, un software gratuito per le Pmi
Più facile per le pmi la valutazione di impatto privacy (nota anche come Dpia, data protection impact assessment), prevista dall'articolo 35 del Regolamento Ue sulla protezione dei dati n. 2016/679, operativo dal 25 maggio 2018. Il garante della privacy ha collaborato con l'omologa autorità francese (Cnil) e ha inserito sul suo sito (www.garanteprivacy.it) il collegamento al software gratuito e liberamente scaricabile.
Si tratta di un percorso guidato utile alle realtà medio-piccole, per gestire i trattamenti dei dati con rischio elevato. Il garante della privacy avvisa che il software non va inteso come schema predefinito per ogni valutazione d'impatto, che va integrata in ragione delle tipologie di trattamento esaminate.
Inoltre la valutazione d'impatto sulla protezione dei dati deve tenere conto del rischio complessivo che il trattamento previsto può comportare per i diritti e le libertà degli interessati, alla luce dello specifico contesto. Pertanto, il concetto di rischio non si esaurisce nella considerazione delle possibili violazioni o minacce della sicurezza dei dati. Il garante ammonisce, infatti, a non scambiare la valutazione di impatto con le misure di sicurezza. Il rischio di cui si tratta nella valutazione di impatto riguarda l'interessato e non il titolare del trattamento.
Il software cataloga i rischi e i rimedi e offre un percorso guidato fino alla validazione della valutazione. Previsto l'inserimento del parere del Responsabile della protezione dei dati.
La responsabilità della Dpia spetta al titolare del trattamento (a pena di sanzioni amministrative fino a 10 milioni di euro), anche se la conduzione materiale della valutazione di impatto può essere affidata a un altro soggetto, interno o esterno all'organizzazione. Il titolare del trattamento ne deve monitorare lo svolgimento consultandosi con il responsabile della protezione dei dati (Rpd, in inglese Dpo) e acquisendo, se i trattamenti lo richiedono, il parere di esperti di settore, del responsabile della sicurezza dei sistemi informativi (Chief Information Security Officer, Ciso) e del responsabile IT.
La Dpia va fatta in tutti i casi in cui un trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Il Gruppo Art. 29 (gruppo dei Garanti europei della privacy) ha individuato nove criteri specifici a questo proposito: la Dpia è necessaria in presenza di almeno due di questi criteri, ma, tenendo conto delle circostanze, il titolare del trattamento può decidere di condurre una Dpia anche se ricorre uno solo dei criteri.
Fonte: Italia Oggi